網絡安全的方針范例6篇

前言：中文期刊網精心挑選了網絡安全的方針范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全的方針范文1

關鍵詞：攻擊；僵尸；網絡

中圖分類號：TP311 文獻標識碼：a DoI: 10.3969/j.issn.1003-6970.2012.02.016

Thoughts on the security defense against the network attack from one college waNG Qi(Network Information Center,Jiangsu Animal Husbandry&Veterinary College,Taizhou 225300 China)

【Abstract】In recent years, the Internet attacks increase in various ways, and their technical innovation is far more rapid developed

than that of the network defense technology. The kinds of Botnet attack data flow bring the network management greater challenges and higher demand. In this paper, we take a targeted attack for a university network for example, record the whole attack process, summarize its attacking principle, present the corresponding measures taken by colleges, and finally we concluded the attacking trend, therefore, we put forward some improvement countermeasures from the stand of user and operators to provide a more stable and high-quality network services.

【Key words】attack; botnet; network

0 引 言

僵尸網絡和DDOS攻擊是近年來黑客廣泛利用的攻擊跳板與手段,它們無意識的受控于網絡攻擊者，向指定目標發送大量的DOS數據包，不僅嚴重影響被攻擊者對互聯網的訪問與對外服務,還會嚴重沖擊互聯網絡提供商(ISP)網絡的正常運行。本文通過對對去年發生于江蘇某高校教育網線路的網絡攻擊事件進行分析,總結出當前網絡攻擊的新趨勢，并有針對性地從運行商、用戶角度提出應對思路,保證互聯網的安全。

1 攻擊事件背景

眾所周知，教育網以其獨特的edu域名而為高校所推崇，作為一個公益性質的實驗研究網絡，它扮演著國內幾乎所有高校的網站信息等各類對外應用服務網絡支持者的角色，是高校對外一個重要窗口。高校作為一個非商業盈利性單位，理論上應該不存在商業競爭為目的的惡意攻擊，但本次攻擊時間之長（14天）、攻擊手段變化之頻繁為20年內江蘇省高校界中很罕見的一次記錄。

2 攻擊過程

2011年6月，江蘇省某高校教育網線路遭受網絡攻擊，造成edu域名的web服務器、郵件服務器、DNS服務器等所有對外應用無法使用。

在6月1日開始，學院網絡中心發現系部服務器長時間無響應，因為所有二級院系網站新聞功能及軟件代碼部署都在該服務器上，所以求助電話很快就反饋過來。

2.1 TCP SYN泛洪攻擊

6月1日下午經過抓包分析，服務器受到攻擊，攻擊流量來自教育網線路。攻擊數據采用TCP SYN泛洪沖擊服務器，服務器CPU資源迅速被消耗完畢，進入死機狀態，所以無法響應正常訪問數據請求。技術人員在咨詢防火墻廠商后，調整了防火墻處理TCP SYN請求的模式，將TCP SYN網關模式調整為TCP SYN模式中繼模式。防火墻收到SYN請求包后，不向服務器轉發該請求，而是主動向請求方發送SYN/ACK包，在收到請求方的ACK確認包并判斷為正常訪問后，才將SYN請求包發送給服務器，完成會話建立。調整后可以基本過濾不可用的惡意連接發往服務器，同時服務器CPU內存高利用率的狀況得到緩解。

2.2 海量訪問攻擊

6月2日上午，攻擊者采用了海量訪問方式，在防火墻連接數監控中發現訪問源IP地址數呈現幾何級數增長。雖然每個IP都與服務器完成正常的三次握手協議，但同時遞交了相當多的無用查詢請求，查詢目標為一些并不存在的數據條目或者頁面。海量的訪問又造成了服務器CPU資源耗盡，無法提供對外服務，攻擊包抓包解析如圖1。

圖1 攻擊包解析

針對這種情況，技術人員采取防御策略是更換服務器硬件，將服務器代碼從臺式機遷移至刀片服務器陣列中，這樣使服務器的CPU與內存資源都得到了一定程度的提升。同時，還更改了新服務器IP地址，相應在DNS服務器中更換了域名記錄。但數小時后，攻擊立刻轉向至新更換的IP地址上，仍然造成了服務器失效宕機。當時邀請了天融信、山石網科防火墻廠商在現場協助解決，用不同的防火墻輪流切換使用，并在防火墻上額外加載了IPS入侵防御功能模塊，設置訪問控制粒度，設定了相對嚴格的IP訪問閥值。最后使用山石網科的M3150識別遏制該種攻擊效果較好，能降低服務器部分負載。山石防火墻的粒度控制和安全防護設置界面如圖2和3。

2.3 分布式泛洪攻擊

2011年6月4日，經過抓包分析，攻擊數據轉換為TCP 、UDP隨機端口方式，也就是分布式拒絕服務攻擊，并且把攻擊目標擴展到了國示范專題網站及校園門戶網站，但不以沖垮服務器為目的。這是一個很致命的問題，雖然防火墻的安全策略拒絕攻擊包涌入內網，但攻擊包堵塞了防火墻上游的數據帶寬。教育網在6月7日，6月8日分別將學院的線路帶寬從10Mbit/s緊急升級到35Mbit/s和100Mbit/s,但攻擊流量水漲船高。技術人員通過外網交換機統計端口查看瞬時數據后發現，在短短幾分鐘之內，帶寬就消耗殆盡。教育網清華維護中心在與學院溝通后暫時設置了路由黑洞，將210.29.233.0全網段屏蔽。雖然學院的線路帶寬利用率立即下降到正常值，但該網段的所有服務應用全部無法被外網訪問了，反而達到了駭客攻擊的目的。期間曾經嘗試部署金盾防御DDOS硬件設備在學院出口處防火墻設備前端，但效果不明顯。在溝通后，廠方工程師也認為該類型設備應部署在教育網的江蘇高?？偝隹谔幉拍芷鸬椒烙Ч?。同時教育網東南大學地網中心配置了一臺小型號的流量清洗設備來過濾學院的數據流，但因為地網中心至北京的互聯帶寬有限，為了防止骨干通道被攻擊數據堵塞，所以不能無限制放寬流量來支援受害院校，所以這樣部署后的效果是僅能維持江蘇教育網內用戶訪問受害學院，效果不理想。分布式拒絕服務攻擊數據包解析如圖4。

圖4 分布式DDOS攻擊包

2.4 查找攻擊源

當時學院按照流程報警，警方力量接入，并與教育網方面開會討論，布置任務，根據收集到的抓包文件，確認了一個真實攻擊僵尸IP地址是鎮江某IDC機房的一臺服務器，其他的IP地址歸屬地則是世界各地，可以確認為偽造或無法完成追蹤。當天警方到IDC機房將該服務器下線，并將硬盤數據進行備份，分析硬盤中的入侵痕跡順藤摸瓜尋找上游控制端，但未能發現進一步證據來查詢到上游控制端。

2.5 SYN-ACK反射攻擊

2011年6月10日下午，經過抓包解析，分布式拒絕服務攻擊數據消失了。但網絡中出現大量的SYN-ACK數據包，經過詳細研究查閱了部分資料后了解到，這是一種間接的反射攻擊。受控于上游控制端的大量僵尸機器向各類合法在線用戶 發送偽造的以學院IP地址為源地址的SYN請求包，合法用戶或服務器誤認為該數據由學院的IP地址發出請求訪問，根據三次握手原理于是便回復SYN-ACK包來響應請求，間接成了被利用的反射節點，反射攻擊的原理如圖5。一旦反射節點數量足夠多，同樣能消耗盡受害者的網絡帶寬。所幸這種攻擊的數據量已經不如先前的規模，未造成帶寬耗盡的情況。

圖5 反射攻擊示意圖

2.6 攻擊停止

2011年6月14日之后，針對教育網線路的網絡攻擊完全停止。在攻擊后的各方交流中，大家普遍對此次攻擊的目的性表示疑惑，因為未曾有相應的經濟或政治勒索，所以東南大學的龔教授認為此次攻擊是初級網絡駭客利用受控的僵尸網絡可能性較大。

3 防御方的經驗和體會

通過本次事件，作為受害方的學院技術人員，經過反思，也從中總結出一些受害方和運營商方面的可以借鑒的經驗教訓。

在用戶方面：

學院方面沒有使用智能DNS解析來實現不同運營商接入用戶從不同線路進行訪問，并且沒有異地服務器節點與部署多播源發現協議MSDP。因為該協議原理是當網絡設備接到對服務器的訪問請求，則檢查距離最近的服務器是否可用，如服務器不可用，選播機制將請求轉發給不同地理位置的下一個服務器來相應請求，同時能將DDOS帶來的攻擊數據自動分配到最接近攻擊源的服務器上[1]。經過資料查詢，這個方式是百度及谷歌等大型全球性網站進行流量分擔的一種策略。由于異地服務器部署的代價較大，受經費及技術力量所限，在短期內無法實現，但仍舊不失為一種優異的防御方式。

目前重要服務器仍舊是單發引擎，沒有配置本地負載均衡設備和多機容災。大部分服務器沒有后臺與前臺隔離，導致到服務后臺直接面向網絡攻擊，一旦收到大量的搜索頁面或者數據庫請求，則癱瘓無法正常工作。而有前臺與編輯后臺的機制則優勢明顯，即使前臺服務器癱瘓了，但后臺數據和編輯功能仍舊不受影響，能保護核心數據安全不受侵犯。

大部分的服務器未能部署反篡改軟件，有許多不安全的的服務或端口開啟著，如文件共享TCP135 139，有可上傳文件權限的FTP默認用戶存在。在內網用戶訪問服務器時，沒有內網防火墻來過濾數據包，只使用了一臺三層交換機進擴展ACL進行過濾，服務器代碼老化少有維護。鑒于本次事故，受害學院已經邀請測評中心對全域服務器做全方位的第三方安全檢測，并出具檢測報告并提出相應修復建議。

未注意網絡安全的木桶效應，去彌補最薄弱的環節―終端用戶。堡壘往往從內部攻破，保護未能從終端做起。眾所周知WINDOWS系統漏洞非常多，微軟要定期補丁來修復，所以很容易受到入侵。用戶計算機安全意識較差，無殺毒軟件使用的情況較多，所以造成僵尸機器橫行。在本次攻擊中抓包發現不少內網機器已經淪為被利用的僵尸機器，成為被利用的工具，所以要在用戶終端接入方面設置準入系統，強制性安裝殺毒軟件及反木馬軟件。目前主要網絡互聯節點及出口處未部署IDS或者IPS，沒有定期對比數據流變化報告或者安全分析。

防范社會行為學行為泄密，在外來人員較多的情況下，需要注意拓撲結構、數據組成、出口帶寬、部門結構、骨干網規模方面的信息保密。

在運營商方：

教育網方面缺乏相應的應對此類危害事故的緊急狀態機制，同時由于其自身的科研和公益性等特點，維護人員組成多為大學教授和研究生以及少量兼職工程師，所以服務響應與質量較大型運營商有一定的差距。

分配給最終用戶的帶寬過于狹小（10Mbit/s），一次小的攻擊往往就立竿見影起到破壞效果。

全網沒有部署反向路由追蹤功能，造成偽造的IP流量橫行。因為URPF全面部署后能阻斷虛假源IP的攻擊,能提供快速定位能力來杜絕偽造源IP地址的數據包在網絡中傳輸,從而阻斷部分黑客攻擊流量,并對攻擊的溯源有很大幫助[2]。

有限能力的流量清洗，僅能實現清洗處下游訪問正常，上游數據仍舊被堵塞。江蘇高校的出口上聯至北京清華維護中心的帶寬只有數Gbit/s，所以無法提供更多帶寬來支援被攻擊的學院。在參考過幾篇聯通電信技術人員的相關文檔論文后，我們也了解到大型運營商防御分布式攻擊的思路和原理：提供分布式的清洗中心，針對不同級別的城域網出口部署不同層次的防DDOS設備，可以根據用戶請求手動添加被攻擊IP進入BGP路由或由設備發現攻擊后自動添加路由方式，將有問題的流量引導進入防DDOS設備進行流量清洗后回灌到原有網絡中。不同的清洗中心可以互為備份增強清洗效果，如一個10GB清洗能力的中心，在相互交叉支持的情況下甚至可以1TB帶寬的用戶范圍的保護。下圖6是引用的清洗流程，源自北京聯通防DDOS攻擊服務介紹。

圖6 運營商流量清洗示意圖

4 反思與展望：

隨著網關服務器、交換機、防火墻、服務器硬件、操作系統軟件更新升級由TCP SYN發起的DDOS攻擊看似得到了緩解。但本次針對消耗帶寬方式的DDOS攻擊最后仍舊是不了了之，目前我們能做的似乎就僅此而已了。即使大型運行商，提供的解決方案或大致思路應該也是用ISP的帶寬資源、防御設備去消耗抵御僵尸網絡的流量，這也是一個減法問題，如果未來僵尸網絡的流量大于ISP能力極限的情況后如何應對，是一個值得研究的問題。

伴隨著電信聯通光城市計劃的推廣，現今寬帶用戶大規模提速，10M、20M甚至100M家庭入戶已經成為現實，企業千兆早已不是傳說。即使用于GB流速的出口帶寬，也禁不住越來越強勁的僵尸網絡攻擊，所以最后提出的問題已經逐步有了研究的現實基礎。正如業內著名的防御DDOS服務商Arbor Networks 公司首席解決方案專家Roland Dobbins在NANOG 的郵件中所說的：“DDoS 攻擊只是表象，真正的問題根源是僵尸網絡?！倍┦W絡的問題，不是一時半會兒就能徹底解決的[3]。

參考文獻

[1] DDOS. 嘗試阻止DDOS攻擊[J].網絡與信息，2011，(04):53. DDOS . Try to stop DDOS Attack [J]. Network and Information，2011，(04):53.

網絡安全的方針范文2

關鍵詞：信息化；網絡安全；企業；解決方案

0　引言

現代企業信息化網絡是基于內部傳輸網和Internet網絡的互聯網絡，由于公眾網絡是一個相對開放的平臺，網絡接入比較復雜，掛接的相關點比較多，網絡一旦接入公眾網絡，對于一些網絡安全比較敏感的數據，傳輸的安全性就比較弱，比較危險。本文將重點分析企業網絡系統安全性方面以及業務系統安全性方面存在的問題。

1　企業信息化網絡存在的安全隱患

1.1　Windows系統的安全隱患

Windows的安全機制不是外加的，而是建立在操作系統內部的，可以通過一定的系統參數、權限等設置使文件和其他資源免受不良用戶的威脅(破壞、非法的編輯等等)。例如設置系統時鐘，對用戶賬號、用戶權限及資源權限的合理分配等。

由于Windows系統的復雜性，以及系統的生存周期比較短，系統中存在大量已知和未知的漏洞。一些國際上的安全組織已經公示了大量的安全漏洞，其中一些漏洞可以導致入侵者獲得管理員的權限，而另一些漏洞則可以被用來實施拒絕服務攻擊。例如，Windows所采用的存儲數據庫和加密機制可導致一系列安全隱患：NT把用戶信息和加密口令保存于NTRegistry的SAM文件即安全賬戶管理(securityAccounts Management)數據庫中，由于采用的算法的原因，NT口令比較脆弱，容易被破譯。能解碼SAM數據庫并能破解口令的工具有：PWDump和NTCrack。這些工具可以很容易在Internet上得到。黑客可以利用這些工具發現漏洞而破譯―個或多個DomainAdministrator帳戶的口令，并且對NT域中所有主機進行破壞活動。

1.2　路由和交換設備的安全隱患

路由器是企業網絡的核心部件，它的安全將直接影響整個網絡的安全。路由器在缺省情況下只使用簡單的口令驗證用戶身份，并且在遠程TELNET登錄時以明文傳輸口令。一旦口令泄密，路由器將失去所有的保護能力。同時，路由器口令的弱點是沒有計數器功能，所以每個人都可以不限次數地嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。每個管理員都可能使用相同的口令，路由器對于誰曾經作過什么修改沒有跟蹤審計的能力。此外，路由器實現的某些動態路由協議存在一定的安全漏洞，有可能被惡意攻擊者利用來破壞網絡的路由設置，達到破壞網絡或為攻擊作準備的目的。

1.3　數據庫系統的安全隱患

一般的現代化企業信息系統包含著多套數據庫系統。數據庫系統是存儲重要信息的場所并擔負著管理這些數據信息的任務。數據庫的安全問題，在數據庫技術誕生之后就一直存在，并隨著數據庫技術的發展而不斷深化。如何保證和加強數據庫系統的安全性和保密性對于企業的正常、安全運行至關重要。

我們將企業數據庫系統分成兩個部分：一部分是數據庫，按照一定的方式存取各業務數據。一部分是數據庫管理系統(DBMS)，它為用戶及應用程序提供數據訪問，同時對數據庫進行管理，維護等多種功能。

數據庫系統的安全隱患有如下特點：涉及到信息在不同程度上的安全，即客體具有層次性和多項性；在DBMS中受到保護的客體可能是復雜的邏輯結構，若干復雜的邏輯結構可能映射到同一物理數據客體上，即客體邏輯結構與物理結構的分離；客體之間的信息相關性較大，應該考慮對特殊推理攻擊的防范。

2　企業信息化網絡安全策略的體系

網絡安全策略為網絡安全提供管理指導和支持。企業應該制定一套清晰的指導方針，并通過在組織內對網絡安全策略的和保持來證明對網絡安全的支持與承諾。

2.1　安全策略系列文檔結構

(1)最高方針

最高方針，屬于綱領性的安全策略主文檔，陳述本策略的目的、適用范圍、網絡安全的管理意圖、支持目標以及指導原則，網絡安全各個方面所應遵守的原則方法和指導性策略。安全策略的其他部分都從最高方針引申出來，并遵照最高方針，不與之發生違背和抵觸。

(2)技術規范和標準

技術標準和規范，包括各個網絡設備、主機操作系統和主要應用程序應遵守的安全配置和管理技術標準和規范。技術標準和規范將作為各個網絡設備、主機操作系統和應用程序安裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準，不允許發生違背和沖突。它向上遵照最高方針，向下延伸到安全操作流程，作為安全操作流程的依據。

(3)管理制度和規定

管理制度和規定包括各類管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實施辦法，必須具有可操作性，而且必須得到有效推行和實施。它向上遵照最高方針，向下延伸到用戶簽署的文檔和協議。用戶協議必須遵照管理規定和管理辦法，不與之發生違背。

(4)組織機構和人員職責

安全管理組織機構和人員的安全職責，包括安全管理機構組織形式和運作方式，機構和人員的一般責任和具體責任。作為機構和員工工作時的具體職責依照，此部分必須具有可操作性，而目必須得到有效推行和實施。

(5)用戶協議

用戶簽署的文檔和協議，包括安全管理人員、網絡和系統管理員安全責任書、保密協議、安全使用承諾等等。作為員工或用戶對日常工作中遵守安全規定的承諾，也作為違背安全時處罰的依據。

2.2　策略體系的建立

目前的企業普遍缺乏完整的安全策略體系，沒有將政府高層對于網絡安全的重視體現在正式的、成文的、可操作的策略和規定上。企業應當建立策略體系，制定安全策略系列文檔。建議按照上面所描述的策略文檔結構，建立起安全策略文檔體系。

建議策略編制原則為建立一個統一的、體系完整的企業安全策略體系，內容覆蓋企業中的所有網絡、部門、人員、地點和分支機構。鑒于企業中的各個機構業務情況和網絡現狀差別很大，因此在整體的策略框架和體系下，允許各個機構根據各自情況，對策略體系中的管理制度、操作流程、用戶協議、組織和人員職責進行細化。但細化后的策略文檔必須依照企業統一制定的策略文檔中的規定，不允許發生違背和矛盾，其要求的安全程度只能持平或提高，不允許下降。

2.3　策略的有效和執行

安全策略系列文檔制定后，必須和有效執行。和執行過程中除了要得到企業高層領導的大力支持和推動外，還必須要有合適的、可行的和推動手段，同時在和執行前對每個本員要進行與其相關部分的充分培訓，保證每個人員都了解與其相關部分的內容。必須要注意到這是一個長期、艱苦的工作，需要付出艱苦的努力，而且由于牽扯到企業許多部門和絕大多數人，可能需要改變工作方式和流程，所以推行起 來阻力會相當大；同時安全策略本身存在的缺陷，包括不切實際的、太過復雜和繁瑣的、規定有缺欠的情況等，都會導致整體策略難以落實。

3　企業信息化網絡安全技術總體解決方案

參考以上所論述的，結合現有網絡安全核心技術，本文認為，企業信息化網絡總體的安全技術解決方案將圍繞著企業信息化網絡的物理層、網絡層、系統層、應用層和安全服務層搭建整體的解決方案，企業信息化網絡建設將著重從邊界防護、系統加固、認證授權、數據加密、集中管理五個方面進行，在企業信息化網絡中重點部署防火墻、入侵檢測、漏洞掃描、網絡防病毒、VPN五大子系統，并通過統一的平臺進行集中管理，從而實現企業信息化網絡安全既定的目標。

3.1　防火墻系統的引入

通過防火墻系統的引入，利用防火墻“邊界隔離+訪問控制”的功能，實現對進出企業網的訪問控制，特別是針對內網服務器資源的訪問，進行重點監控，可以提高企業網的網絡層面安全。防火墻子系統能夠與入侵檢測子系統進行聯動，當入侵檢測系統對網絡中的數據包進行細粒度檢測，發現異常，并通知防火墻時，防火墻會自動生成安全策略，將訪問源阻斷在防火墻之外。

3.2　入侵檢測子系統的引入

入侵檢測系統用于實時檢測針對重要網絡資源的網絡攻擊行為，它會對企業網內異常的訪問及數據包發出報警，以便企業的網絡管理人員及時采取有效的措施，防范重要的信息資產遭到破壞。同時，可在入侵檢測探測器與防火墻之間建立互動響應體系，當探測器檢測到攻擊行為時，向防火墻發出指令，防火墻根據入侵檢測系統上報的信息，自動生成動態規則，對發出異常訪問及數據包的源地址給予阻斷。入侵檢測和防火墻相互配合，能夠共同提高企業網整體網絡層面的安全性，兩個系統共同構成了企業網的邊界防護體系。

3.3　網絡防病毒子系統的引入

防病毒子系統用于實時查殺各種網絡病毒，可防范企業網遭到病毒的侵害。企業應在內部部署網關級、服務器級、郵件級，以及個人主機級的病毒防護。從整體上提高系統的容災能力，提升企業網整體網絡層面的安全性。

3.4　漏洞掃描子系統的引入

漏洞掃描子系統能定期分析網絡系統存在的安全隱患，把隱患消滅在萌牙狀態。針對企業網絡中存在眾多類型的操作系統、數據庫系統，運行著營銷系統、財務系統、客戶信息系統、人力資源系統等重要的應用，如何確保各類應用系統的穩定和眾多信息資產的安全，是企業信息化網絡中需要重點關注的問題。通過漏洞掃描子系統對操作系統、數據庫、網絡設備的掃描，定期提交漏洞及弱點報告，可大大提高企業網整體系統層面的安全性。該系統與病毒防范系統一起構成了企業網的系統加固平臺。

3.5　數據加密子系統的引入

通過對企業網重要數據的加密，確保數據在網絡中以密文的方式被傳遞，可以有效防范攻擊者通過偵聽網絡上傳輸的數據，竊取企業的重要數據，或以此為基礎實施進一步的攻擊，從而提高了企業網整體應用層面的安全性。

網絡安全的方針范文3

【關鍵詞】企業內部網絡；安全防范；方案與信息技術

企業內部網絡安全防范問題是網絡信息安全領域研究的焦點問題，為了促進我國企業安全快速發展，保護企業商業機密及核心技術，本文對企業內部網絡安全防范的方案設計及信息技術進行了探討。

一、信息技術分析

（一）健全信息管理

企業在完善內部網絡管理時，對網絡安全基礎進行保護是主要工作。從設備管理和信息化安全技術管理方面制定安全管理制度，組織信息化管理人員，將內網安全管理制度嚴格的制定出來，進而有效的保障網絡安全，防范安全漏洞。整個網絡的安全在一定程度上受管理制度的影響較大，完善安全管理制度可以將網絡安全漏洞在一定程度上降低。各個公司根據以往的經驗教訓及既有的安全風險，應該將一些適合本企業的安全制度和安全策略制定出來，在制度層面作出指導，保障企業的網絡安全。

（二）網絡分段管控

內部局域網通常是在廣播的基礎上利用以太網來監測。然而，以太網中每兩個節點彼此間的數據通信能夠被隨意的截取。網絡黑客可以在以太網中隨意一個節點進行接入，實時偵聽，獲取全部數據包，之后對數據包進行分解，進而對重要的信息進行竊取。在對網絡廣播風暴進行控制的時候，網絡分段一般被認為是其中的基本方式，然而實際上也是對網絡安全給予保證的重要方式。隔離敏感的網絡和非法的用戶是其目所在，防止可能的非法偵聽。邏輯分段和物理分段是網絡分段的兩種形式，邏輯分段指的是將網絡分段應用于路由器上，即對IP進行分段。物理分段指的是對中心交換機的三層交換功能和訪問控制功能進行利用，實現局域網的安全控制。

（三）建立主動防御

首先，硬件防火墻。硬件防火墻是在硬件里加入防護程序，由硬件來執行安全防御功能，進而減小CPU負荷，同時保證運轉性能的穩定。在兩個網路之間加載設備是防火墻程序的特征，也是保障其順利實現兩個網絡之間通信監控的依據。

其次，IDS入侵檢測系統。這種系統是為了對內網的非法訪問進行監測而研制的一項技術，在入侵檢測識別庫要求的基礎上，判斷其中的一些非法訪問的情況。只需利用監測到的數據監控者，就能夠判斷網絡的安全情況，并對是否制定安全防護給予評估。比較起硬件防火墻，IDS在主動防御技術的基礎上進行了更深層次的使用。

再次，主動防御的殺毒軟件。在病毒種類日益增多，破壞力愈發強大的背景下，從前固定模式的殺毒軟件已經很難完成保護計算機安全的重任。主動防御技術軟件就是殺毒軟件制造商在這樣的背景之下制造出來，但是其中的主動防御知識單純的針對注冊表、惡意腳本和網頁進行監測，因此這只能稱其為較為初級的主動防御，和真正的主動防御相比還需要不斷地進行完善。

二、具體防范方案探討

（一）設計網絡安全防范總體

綜合運用企業內部網絡，防護漏洞掃描系統和入侵檢測系統，可以保障企業內部網絡彼此間通信數據的安全可靠。這就迫使我們要參照企業本身的特征，防范內部網絡安全，對硬件加密機進行專業化應用部署。這樣不但能夠確保加密處理企業內部網絡中的全部通信數據，而且，對企業內部網絡的可靠安全上還能夠進行保證。

（二）構建網絡安全體系模型

通常來說，企業網絡之中的防衛情況，從安全策略方向可分為兩個層面：即總體的安全策略和具體的實施規劃。將一個組織結構的戰略性安全指導方針在總體安全策略中制定出來，并視為實現這個方針分配的必要物力和人力。通常遠程訪問控制和物理隔離來規劃實施。

遠程訪問控制，第一，識別用戶身份。利用識別用戶身份的過程確定安全用戶身份，對內部網絡安全穩定運行給予基本保證。這樣可以防止由于客戶端不確定的用戶數量，而造成不確定和不安全的隱患存其中，從這點上說，識別網絡客戶端用戶的身份很有必要。第二，管理用戶授權。在管理用戶授權時，需著眼于基礎用戶身份的認證，操作的時候應該根據通過認證的用戶身份執行相應的授權。第三，數據信息保密。數據信息保密工作能否做好是企業內部網絡信息安全管理總綱的核心部分，為了保障安全，應在安全的、統一管理的企業內部網絡中的進行數據通信，進而確保能夠高效的保護企業內部網絡的知識產權和核心信息。第四，實時監控審計。在設計實時監控中，我們需要確保實時監控企業內部網絡安全，同時構建企業內部網絡安全評估報告，為可能出現的網絡安全事故提供有效的分析判斷依據。

三、結語

進入21世紀以來，信息技術在我國多個領域得到了廣泛應用，有效地推動了企業的發展。但是因為一些安全隱患的出現，為企業內部的信息安全帶來了較為嚴重的影響，一些企業單位因為網絡信息安全問題帶來了經營與發展方面較大的損失。因此，研究設計出有效的網絡安全防范方案及信息技術是非常必要的，可以有效促進我國企業安全穩定的生產與發展。

參考文獻：

[1]蘇向穎，王喃喃.企業內部網絡安全防范的方案設計及信息技術[J].信息技術.2013（08）.

網絡安全的方針范文4

關鍵詞：氣象信息網絡；安全；病毒

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 (2012) 06-0101-01

一、引言

氣象信息網絡已經成為氣象業務正常運行的重要組成部分，它是相關人員了解氣象政務和天氣預報等信息的重要媒體。通過這一媒介，預報人員可通過氣象信息網絡傳輸的模式數據等，做出準確的天氣預報和氣候預測。決策服務人員可根據實際天氣情況，氣象災害預警和氣候預測等信息。公眾氣象信息網絡的這些信息來安排自己的工作、學習和生活。但隨著網絡病毒、計算機黑客的不斷入侵，互聯網的安全性越來越低，我們的氣象信息網絡正面臨日益嚴重的安全威脅。氣象信息網絡隨時都有可能遭到有意或無意的黑客攻擊或者病毒傳播。人們是如此地依賴氣象信息網絡，以至于任何因素網絡安全事故都可能造成無法估量的損失和社會影響。維護氣象信息網絡安全性已經刻不容緩。由于氣象網絡系統在管理和制度上普遍存在缺陷，一些條件較差的基層臺站甚至沒有專職計算機網絡管理人員。還有一些再基層氣象職工計算機水平較低，機房設備較差，這對氣象網絡的安全極為不利。

二、提高氣象信息網絡安全的幾個途徑

（一）加強路由器控制，防止IP地址非法探測

加強路由器控制，防止IP地址非法探測時提高氣象信息網絡安全的重要步驟之一。有時候非法黑客會采用“IP地址欺騙”的方法來進行網絡攻擊前的準備。其具體做法是：先假扮成氣象信息網絡內部的一個IP地址，通過Ping、traeeroute或其他命令探測網絡命令來探測網絡。一旦發現漏洞，黑客會利用這些漏洞對氣象信息網絡進行攻擊。針這類安全隱患，網絡管理人員應該在路由器上建立安全訪問控制列表，以防止IP地址非法探測。當建立安全訪問控制列表后，可將其放到路由器連接外網接口入口，形成一道控制墻，假如非法訪問者頻繁地利用Ping、traeeroute或其他網絡探測命令攻擊主機，可對其進行隔斷或阻斷處理。

（二）進行端口管理，阻止病毒傳播

很多網絡病毒利用固定的端口進行黑客攻擊和病毒傳播。例如，臭名昭著的Blaster蠕蟲病毒往往利用TCP 4444端口和UDP 69端口向網絡內部的正常主機傳播病毒。在氣象信息網絡安全管理時，加強計算機端口管理可在一定程度上阻礙病毒的傳播范圍。例如，網絡安全管理人員可在路由器的內、外網結構設置ACL，這樣當到達路由器時，病毒數據會被路由器的ACL設置過濾。因此，進行端口管理是一種“防患于未然”的安全策略。當發生端口攻擊等計算機信息系統安全事故和計算機違法犯罪案件時，網絡管理人員應該立即向單位信息安全責任人報告，并采取必要的措施，避免危害擴大，并編寫違章報告、運行日志和其他與計算機網絡端口攻擊有關的安全材料。

（三）提高內網安全級別，實行分級權限制度

氣象部門為維護常規氣象業務的正常運行，必須實行網絡安全級別的安全管理。一般來說，可將氣象部門的內部網絡按照安全級別分為三個級別：即業務子網級別、辦公子網級別和服務器級別，并實行分級權限制度。通過利用三層交換機策略對子網間的相互訪問進行權限控制安全級別高的子網可以訪問安全級別低的子網，同時禁止低級別的子網訪問高級別的子網。當低級別的子網網絡感染病毒后，不至于傳染至高級別子網，這樣可在很大程度上防止和阻斷網絡間病毒的傳播。網絡管理人員要執行氣象信息網絡安全的分級保護技術措施，對計算機信息系統安全運行情況進行檢查，及時查處不安全因素，排除安全隱患。

（四）實行網絡流量控制，確保業務數據正常通行

通常在氣象信息網絡沒有感染病毒時網絡帶寬應該能夠滿足業務數據的正常傳輸。假如網絡中的終端計算機感染了“蠕蟲”病毒或一些木馬程序后，網絡流量會出現異動。有時，網絡中會產生海量的數據流量，嚴重的甚至會將氣象信息網絡的帶寬完全耗盡，并導致業務網絡的阻塞或完全癱瘓。由于天氣預報、氣候預測等正常的氣象業務運行需要氣象數據及時準確的傳輸和傳達，網絡流量耗盡或阻塞將給氣象業務的正常運行帶來巨大的隱患。因此，為確保常規氣象業務數據的準確、及時傳輸，必須要對一些非業務的數據流量加強管理和限制，防止因為少量終端計算機的不正常而殃及整個網絡。氣象信息安全的相關人員應根據國家法律法規和有關政策要求，遵循國家“積極防御、綜合防范”的方針，確定氣象信息安全工作的策略、重點、制度和措施順利事實。

（五）終端計算機的網絡安全管理

計算機終端的安全是是氣象信息網絡安全的重要組成部分。病毒、惡意軟件、木馬等電腦病毒以及終端本身的軟硬件故障，常常給整個網絡帶來安全隱患，嚴重的甚至能導致系統崩潰。因此，對于終端計算機一定要加強網絡安全管理。因此要定期或不定期組織終端計算機系統的安全風險評估，檢查安全運行情況，并根據評估報告對系統安全措施進行完善與升級，及時排除安全隱患。具體的辦法和措施有：進入安全模式，使用殺毒軟件、360安全衛士、金山清理專家進行殺毒或者重裝系統等。

三、結語

總之，氣象信息網絡的安全保障工作是一項關系氣象業務健康穩定發展的長期任務，要充分認識加強信息安全保障工作的重要性和緊迫性，把信息安全工作列入重要議事日程，明確任務，落實責任，建立并認真落實信息安全責任制。在管理制度方面，要建立健全氣象信息安全組織機構、建立健全氣象信息網絡安全責任體系、建立一整套氣象信息網絡安全管理和信息安全應急處置等制度，最后，相關部門要宣傳貫徹國家信息安全相關法律、法規、規章和有關政策，并組織對氣象信息網絡管理人員進行信息安全教育建設并完善信息安全保障體系，推動信息安全工作的發展。信息網絡安全責任人要正確處理好安全與發展的關系，建立信息安全長效機制，落實信息安全措施，切實履行好信息安全保障責任。

參考文獻：

[1]陳曉字,王曉明,孫鵬.淺談廣東省氣象局網絡安全防護體系的部署[J].廣東氣象,2004,26(3):41-43

網絡安全的方針范文5

關鍵詞:信息系統;網絡安全

中圖分類號:TN915.08文獻標識碼:A文章編號:1007-9599 (2010) 10-0000-01

Network Security Management of Highway Information System

Yuan Yujun,Li Xianshu

(JingHu Highway,North of Lin Management Office,Linyi276013,China)

Abstract:This paper analyzes the current situation,the importance of network security,combined with the actual highway information system network,analyzes the security vulnerabilities of its existence,and the corresponding solutions.

Keywords:Information system;Network security

隨著IT技術的發展,政府、企業和個人越來越多的將政務、商務、經營等活動放到網絡上進行,在網絡應用越來越普遍、越來越重要的同時,它的安全問題就越發顯的重要。據統計,現在全球每20秒就發生一起入侵網絡的事件,超過半數的防火墻被攻破,每年因此而造成的經濟損失超過80億美元;在國內,超過76%的網絡存在安全隱患,20%存在嚴重問題,并且有超過70%的網絡安全威脅來自內部。與之相適應,網絡安全已成為信息安全領域一個非常重要的方面,隨著計算機網絡的廣泛應用,網絡安全的重要性也日漸突出,當前國際國內社會,網絡安全已經成為國家、國防及國民經濟的重要組成部分。

山東省高速公路信息化“十五規劃”中明確指出,山東高速公路信息化方針為:“統籌規劃、突出重點、互聯互通、安全可靠”。因此,在信息系統網絡應用的同時,我們必須保證網絡的安全,把安全放在比較重要的位置。

一、高速公路信息系統網絡特點分析

高速公路以其高效、迅捷、安全的特點,在交通運輸中越來越發揮其不可替代的作用。高速公路信息系統的建設,對改變交通管理模式,改進和完善高速公路管理水平,提高科學決策水平和快速反應能力,提高服務水平,改善道路運營環境,實現高效、優質、安全、舒適和道路運營目的,起著重要的推動作用。

截至2009年底,山東省高速公路信息系統(通信、監控、收費三大系統)已建成4300余公里,實現了收費站-分中心-中心-總中心四級聯網,在全省高速公路已實現收費聯網“一卡通”。信息系統中通信網實現了語音、數據和圖像等業務功能,滿足了收費網、監控網等的帶寬要求,傳輸模式以及遠程監控等要求;通過對多種外場設備控制,可對交通流量、氣象情況、道路運行情況等信息進行采集和圖像監視,實現了對整個路網全程、實時監控,生成并顯示各種報表等功能;收費網實現了全省高速公路“一票直達”、全省統一收費,并按路段合理準確的進行結算和賬務分割及對特殊收費情況進行監督管理的功能。而且,高速公路信息管理系統的三級管理體制(總中心、中心、分中心)已建立運行并在逐步完善。

綜合以上,高速公路信息系統的網絡具有以下特點:信息系統網絡對我們的高速公路信息化建設事業至關重要;高速公路信息系統點多線長面廣,管理體制和層次較復雜;隨著高速公路建設的不斷進行,信息系統的網絡也將隨之不斷擴大。

二、高速公路信息系統網絡安全隱患

目前,高速公路信息系統網絡主要存在以下安全隱患:

(一)網絡安全意識尚未深入人心,職工網絡安全意識有待加強。

(二)信息系統點多線長,各路段信息系統由不同管理處,不同的部門負責,很難做到協調一致,統一部署;信息系統網絡安全相關的規章制度尚未建立健全,相關的應急預案、方案尚未出臺;對網絡安全的檢查考核工作尚未開展。

(三)黑客技術日益公開化、職業化,各種攻擊日益頻繁,病毒日益泛濫,重大網絡安全事故日益增多,網絡安全事件日益嗇;與此相對應的是:高速公路信息系統(通信、監控、收費)尚未應用必要的網絡安全設備、尚未采用一定的網絡安全措施。

(四)現有計算機操作系統已發現2000多個漏洞,而且每一個漏洞均有可能被黑客利用,對計算機、信息系統網絡造成重大的危害。

(五)對防范內部員工的誤操作或惡意攻擊沒有很好的辦法。

三、切實加強網絡安全建設

結合高速公路信息系統網絡的特點,為加強山東高速網絡安全建設,應當堅持以管理為基礎,以制度為保障,以技術為實現手段的中心思想,并注重以下幾個方面:

(一)加強網絡安全教育,培養員工的網絡安全意識,使每個員工都認識到網絡安全的重要性,并且能夠掌握必要的網絡安全防范知識。網絡安全工作不能單靠網絡安全設備或個別的網絡管理售貨員,而是需要單位領導高度重視、全體員工共同努力,才能夠切實保證信息系統網絡的安全。

(二)建立專門負責信息系統網絡安全的機構,統一指揮、協調一致,并明確各相關部門的網絡安全責任和義務,做到網絡安全各相關部門權責分明。

(三)對全體員工進行網絡安全培訓,全面提高職工的計算機水平及網絡安全防護能力。

網絡安全的方針范文6

硬件技術因素，在一些發展緩慢的高校中，計算機網絡設備陳舊、財政拮據與限制以及其他原因致使網絡設備更新緩慢，從而導致網絡運行的穩定性及兼容性差，支持其運行的服務器、路由器、交換機負荷過大，容易出現故障，造成設備損壞。

人為因素，因為管理人員工作的關系，對系統本身比較熟悉，如果出現問題將會導致非常嚴重的后果。而對于讀者來說，由于對網絡的好奇，會讓他們對網絡研究產生強烈欲望，也因此會在一部分學生讀者中產生用所學的技術對網絡進行攻擊的行為，并導致網絡出現癱瘓等情況，從而對數字圖書館的信息安全產生威脅。

高校數字圖書館的網絡安全管理策略

1．網絡硬件及系統的使用與維護(1)硬件維護:網絡服務器系統的硬件維護與維修是強化管理數字圖書館網絡安全硬件技術的關鍵。我們應注意在日常工作中對設備進行養護，如機房，服務器，交換機，集線器等設備，建立定期檢查，維護、維修制度，對具體管理和使用各種設備的工作人員實行責任分工，建立維護文檔跟蹤機制，以確保網絡安全管理系統的順利運行。(2)運行環境在定期保養工作中，注意設備要擁有健康的內部環境和良好的外部環境，在一定程度上環境可影響硬件設備的運行效果，保持空氣和溫度環境，往往可使電源電壓穩定，減少設備意外斷電。定期清潔環境，盡可能保持密閉，以避免灰塵堆積過多，根據天氣變化，要做到及時除潮。(3)系統備份數字圖書館應具備相應的備份系統，以便在出現系統癱瘓時能夠及時的恢復硬盤數據，以確保系統網絡的正常運作。殺毒軟件及系統補丁應及時更新，并對更新時間進行設置，已使系統到達最佳狀態。定期對系統備份及設置進行檢查，發現損壞應及時更換。

2．系統軟件的維護與使用(1)系統軟件的使用與設置操作系統作為用戶與計算機的接口軟件，控制用戶對網絡和數據的訪問，但無論是Windows或Unix或Linux都會給病毒和黑客攻擊留有機會，所以應每周固定在服務器上查殺病毒，并對殺毒軟件進行病毒庫更新和系統升級，及時填補安全漏洞，維護應用系統提供的數據，建立一個獨立的安全認證系統，在管理過程中使用數據加密技術，并制定嚴格的規定，例如:賬號，密碼和訪問控制方法。同時，盡量避免一般用戶對操作系統的安全認證，以確保在操作系統不安全的條件下，最大限度地提高數據的安全，保證數據庫系統不會受到損壞。(2)應用程序的選擇應用程序是客戶使用的一部分，操作系統為擴大應用領域，在使用過程中，也增加了網絡安全風險，選擇應用軟件，應該選正版軟件，尤其是基層的計算機應用軟件，以達到網絡安全需要，應對機房制定嚴格的使用規章制度，避免誤入病毒和木馬，而影響整個數字圖書館網絡系統的使用。

3．設立安全防范機制以處理緊急情況數字圖書館系統更容易發生意想不到的情況:第一，自然災害，如地震、洪水等不可抗力;第二，事故災害，是指停電，設備故障造成的網絡和系統損害;第三，破壞，是指網絡設備和設施、黑客攻擊和其他原因造成的系統及硬件破壞，導致不能正常運行。